前言

　　1980年，經(jīng)合組織（OECD）提出了“數(shù)據(jù)跨境流動”（Trans-border Data Flow）的概念，其被界定為個人信息的跨越國界流動。但隨著技術(shù)的發(fā)展，國際上對跨境數(shù)據(jù)流動的理解已經(jīng)完全超越了個人信息的范疇。巨量的數(shù)據(jù)資源不僅只涉及個人信息了，尤其是跨國企業(yè)經(jīng)營中涉及的數(shù)據(jù)跨境，既存在個人信息，也包括商品數(shù)據(jù)、支付數(shù)據(jù)、物流數(shù)據(jù)、地理位置等非個人信息，且其中相當(dāng)一部分數(shù)據(jù)涉及國家安全、公共安全。我國此前監(jiān)管重心多側(cè)重于“個人信息”的出境規(guī)制（《個人信息出境安全評估辦法（征求意見稿）》），實務(wù)中對于“個人信息”出境合規(guī)應(yīng)對也較為成熟，而對于“重要數(shù)據(jù)”的出境規(guī)制則存在立法空白。

　　2021年6月10日，我國《數(shù)據(jù)安全法》正式出臺，在《網(wǎng)絡(luò)安全法》第37條的基礎(chǔ)上，進一步建構(gòu)數(shù)據(jù)出境安全管理框架?！稊?shù)據(jù)安全法》在鼓勵跨境數(shù)據(jù)流動（第10條）的基礎(chǔ)上，對數(shù)據(jù)出境安全管理（第31條）、主管機關(guān)批準(zhǔn)（第36條）以及法律責(zé)任承擔(dān)（第46條）等方面進行規(guī)定，為跨國企業(yè)盡快開展數(shù)據(jù)出境合規(guī)工作提供了方向參考。

　　本文將以《數(shù)據(jù)安全法》為基礎(chǔ)，結(jié)合《網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》（下文簡稱《評估指南》）等規(guī)定，對于跨國企業(yè)數(shù)據(jù)傳輸存在的常見問題進行回答，以期為跨國企業(yè)的數(shù)據(jù)出境合規(guī)提供法律幫助。

　　一、《數(shù)據(jù)安全法》對于數(shù)據(jù)出境的監(jiān)管要求

　　《數(shù)據(jù)安全法》第三十一條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定；其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。

　　（ 一 ） 數(shù)據(jù)出境的主體：關(guān)鍵信息基礎(chǔ)設(shè)施的運營者 & 其他數(shù)據(jù)處理者

　　1.關(guān)鍵信息基礎(chǔ)設(shè)施的運營者

　　關(guān)鍵信息基礎(chǔ)設(shè)施的運營者并非《數(shù)據(jù)安全法》創(chuàng)設(shè)的新主體，早在《網(wǎng)絡(luò)安全法》與《網(wǎng)絡(luò)安全審查辦法》便已對關(guān)鍵信息基礎(chǔ)設(shè)施進行了定義。

　　《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定。

　　根據(jù)該條，國家互聯(lián)網(wǎng)信息辦公室（下文簡稱“網(wǎng)信辦”）制定了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》，其中第十八條規(guī)定了應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍，包括：

　　1、政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領(lǐng)域的單位；

　　2、電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

　　3、國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

　　4、廣播電臺、電視臺、通訊社等新聞單位；

　　5、其他重點單位。

　　而根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）》第二條，在中華人民共和國境內(nèi)規(guī)劃、建設(shè)、運營、維護、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施，以及開展關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護，適用本條例。

　　2.其他數(shù)據(jù)處理者

　　我國此前針對個人信息與數(shù)據(jù)的收集、處理活動的主體，多采用“網(wǎng)絡(luò)運營者/網(wǎng)絡(luò)運營商”的概念。

　　《個人信息出境安全評估辦法（征求意見稿）》第二條將“個人信息出境”界定為網(wǎng)絡(luò)運營者向境外提供在中華人民共和國境內(nèi)運營中收集的個人信息的行為；《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》將“數(shù)據(jù)出境”界定為網(wǎng)絡(luò)運營商通過網(wǎng)絡(luò)等方式，將其在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)，通過直接提供或開展業(yè)務(wù)以及提供服務(wù)、產(chǎn)品等方式提供給境外的機構(gòu)、組織或個人的一次性活動或連續(xù)活動。

　　而最新的《數(shù)據(jù)安全法》將數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動明確界定為“數(shù)據(jù)處理”，而實施上述活動的主體則為“數(shù)據(jù)處理者”。但此“數(shù)據(jù)處理者”從其內(nèi)涵和法律意義來看不同于GDPR項下的“數(shù)據(jù)處理者”。

　　綜上，實施收集、存儲、使用、加工、傳輸、提供、公開數(shù)據(jù)等行為的跨國公司，無論其是否建設(shè)、運營、維護、使用上述關(guān)鍵信息基礎(chǔ)設(shè)施，均因其實施數(shù)據(jù)處理行為而落入《數(shù)據(jù)安全法》第三十一條的規(guī)制主體范疇。

　　（ 二 ） 數(shù)據(jù)出境的對象：重要數(shù)據(jù)

　　《數(shù)據(jù)安全法》并非要求所有數(shù)據(jù)出境均應(yīng)進行審查，而是針對企業(yè)在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)進行數(shù)據(jù)出境安全管理。對于“重要數(shù)據(jù)”的范疇，《數(shù)據(jù)安全法》第二十一條在概念界定的基礎(chǔ)之上提出了“重要數(shù)據(jù)目錄”，該目錄則是由國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定。

　　《數(shù)據(jù)安全法》第二十一條規(guī)定，國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。

　　關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴(yán)格的管理制度。

　　各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進行重點保護。

　　目前《數(shù)據(jù)安全法》的相關(guān)配套法律法規(guī)還未出臺，尤其是最核心的“重要數(shù)據(jù)目錄”，但跨國公司數(shù)據(jù)出境需求并不會因為政策尚未落定而停止。在此期間，我們建議跨國公司可以參照現(xiàn)有分類分級規(guī)范對“重要數(shù)據(jù)”界定開展工作，部分規(guī)范和行業(yè)標(biāo)準(zhǔn)仍處于征求意見階段，但并不意味其內(nèi)容毫無參考價值。

　　《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識別指南”中對27個重點行業(yè)的重要數(shù)據(jù)做了概括性的描述，如石油、電力、金融等。

　　《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍，具體包括：

　　1、軍事管理區(qū)、國防科工等涉及國家秘密的單位、縣級以上黨政機關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù)；

　　2、高于國家公開發(fā)布地圖精度的測繪數(shù)據(jù)；

　　3、汽車充電網(wǎng)的運行數(shù)據(jù)；

　　4、道路上車輛類型、車輛流量等數(shù)據(jù)；

　　5、包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù)；

　　6、國家網(wǎng)信部門和國務(wù)院有關(guān)部門明確的其他可能影響國家安全、公共利益的數(shù)據(jù)。

　?。?三 ） 數(shù)據(jù)出境的內(nèi)容：“出境”

　　《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》將“數(shù)據(jù)出境”（data cross-boder transfer）界定為網(wǎng)絡(luò)運營者將在中華人民共和國境內(nèi)收集和產(chǎn)生的電子形式的個人信息和重要數(shù)據(jù)，提供給境外機構(gòu)、組織、個人的一次性活動或連續(xù)性活動。并且注明，未經(jīng)任何變動或加工處理的數(shù)據(jù)中轉(zhuǎn)情形不屬于數(shù)據(jù)出境。

　　并將“提供”（provide）界定為網(wǎng)絡(luò)運營者主動向境外機構(gòu)、組織或個人提供數(shù)據(jù)，或通過其他途徑發(fā)布數(shù)據(jù)的行為，包括其用戶使用網(wǎng)絡(luò)運營者提供的產(chǎn)品或服務(wù)的功能，向境外機構(gòu)、組織或個人提供數(shù)據(jù)的行為。但排除了網(wǎng)絡(luò)運營者提供已經(jīng)被依法公開披露的數(shù)據(jù)。

　　從立法原意看，之所以要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)對向境外提供重要數(shù)據(jù)進行安全評估，是為了防范國家數(shù)據(jù)安全風(fēng)險，維護國家安全，保障公共利益，因此《評估指南》排除了單純的數(shù)據(jù)中轉(zhuǎn)行為，而是強調(diào)網(wǎng)絡(luò)運營者提供行為的主動性。這也與《數(shù)據(jù)安全法》第十條的立法意相符合。

　　二、數(shù)據(jù)出境自評估工作

　　圖片圖源 《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》

　?。?一 ） 什么時候需要進行數(shù)據(jù)出境自評估

　　根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》4.2.2 條，存在下列情況時，需要進行數(shù)據(jù)出境自評估：

　　涉及數(shù)據(jù)出境的；

　　關(guān)鍵信息基礎(chǔ)設(shè)施運營者進行數(shù)據(jù)出境之前的；

　　已完成數(shù)據(jù)出境安全自評估的產(chǎn)品或業(yè)務(wù)所涉及的個人信息和重要數(shù)據(jù)出境，在目的、范圍、類型、數(shù)量等方面發(fā)生較大變化、數(shù)據(jù)接收方變更或發(fā)生重大安全事件的；

　　按照行業(yè)主管或者監(jiān)管部門要求啟動的。

　?。?二 ） 如何開展數(shù)據(jù)出境自評估工作

　　1.成立安全自評估工作組，制定數(shù)據(jù)出境計劃

　　開展數(shù)據(jù)出境自評估工作應(yīng)當(dāng)建立數(shù)據(jù)出境安全自評估工作組，工作組主要包含法務(wù)、政策、安全、技術(shù)、管理相關(guān)專業(yè)人員。數(shù)據(jù)出境安全自評估工作組應(yīng)負責(zé)審查業(yè)務(wù)部門提交的數(shù)據(jù)出境計劃，并定期對數(shù)據(jù)出境情況開展檢查、抽查。而有數(shù)據(jù)出境需求的業(yè)務(wù)部門應(yīng)制定數(shù)據(jù)出境計劃，該計劃是開展評估工作的重要依據(jù)。

　　數(shù)據(jù)出境計劃的內(nèi)容包括但不限于：

　　涉及個人信息情況，包括個人信息的類型、數(shù)量、范圍和敏感程度等；

　　涉及重要數(shù)據(jù)情況，包括重要數(shù)據(jù)的類型、數(shù)量和范圍等；

　　涉及的信息系統(tǒng)情況；

　　數(shù)據(jù)發(fā)送方安全保護能力；

　　數(shù)據(jù)接收方安全保護能力及其所在的國家或地區(qū)的基本情況。

　　2.評估數(shù)據(jù)出境計劃的合法性和正當(dāng)性

　　數(shù)據(jù)出境安全自評估首先應(yīng)當(dāng)考慮本次數(shù)據(jù)出境計劃的合法性和正當(dāng)性，如果數(shù)據(jù)出境活動不具有合法性和正當(dāng)性，則禁止出境。在此基礎(chǔ)上再評估數(shù)據(jù)出境計劃是否風(fēng)險可控，有效避免數(shù)據(jù)出境及再轉(zhuǎn)移后被泄露、損毀、篡改、濫用等風(fēng)險。

　　自評估但評估要點可以參考《評估指南》第5章，評估方法可以參考《評估指南》附錄 B。安全評估但結(jié)果為出境安全風(fēng)險為極高或高的，則禁止出境。

　　圖片根據(jù)《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》制作

　　3.形成評估報告，進行相應(yīng)調(diào)整

　　數(shù)據(jù)出境安全自評估工作組在完成對數(shù)據(jù)出境計劃的評估后，應(yīng)形成安全自評估報告。安全自評估報告內(nèi)容應(yīng)包括但不限于：

　　安全自評估對象基本情況；

　　安全自評估組織實施情況；

　　安全自評估結(jié)果；

　　數(shù)據(jù)出境安全風(fēng)險點；

　　檢查修正建議。

　　安全自評估報告應(yīng)至少保存2年，并在如下情況下將安全自評估報告上報行業(yè)主管部門，行業(yè)主管部門不明確的，報國家網(wǎng)信部門。

　　關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展的安全自評估；

　　一年內(nèi)出境的個人信息數(shù)量達到國家網(wǎng)信部門、行業(yè)主管部門上報要求的；

　　包含核設(shè)施、生物化學(xué)、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)，大型工程活動、海洋環(huán)境敏感地理信息數(shù)據(jù)，以及其他重要數(shù)據(jù)的；

　　涉及關(guān)鍵信息基礎(chǔ)設(shè)施的安全缺陷、具體安全防護措施等網(wǎng)絡(luò)安全信息的；

　　其他可能影響國家安全、經(jīng)濟發(fā)展和社會公共利益的。

　　如果安全自評估結(jié)果為禁止出境的，網(wǎng)絡(luò)運營者應(yīng)采用相關(guān)措施降低數(shù)據(jù)出境安全風(fēng)險，并修正數(shù)據(jù)出境計劃，重新開展安全自評估。

　　可用于降低數(shù)據(jù)出境安全風(fēng)險的措施包括但不限于：

　　精簡出境數(shù)據(jù)內(nèi)容；

　　使用技術(shù)措施處理數(shù)據(jù)降低敏感程度；

　　提升數(shù)據(jù)發(fā)送方安全保障能力；

　　限定數(shù)據(jù)接收方的處理活動；

　　更換數(shù)據(jù)保護水平更高的接收方；

　　選擇政治法律環(huán)境保障能力較高地區(qū)的數(shù)據(jù)接收方等。

　　在企業(yè)進行相應(yīng)調(diào)整后，可重新對數(shù)據(jù)出境進行安全風(fēng)險評估。

　　三、常見問題回應(yīng)

　　（ 一 ） 跨國企業(yè)是否必須在中國境內(nèi)設(shè)立用于存儲數(shù)據(jù)的服務(wù)器？

　　《數(shù)據(jù)安全法》并未直接對數(shù)據(jù)本地化存儲進行規(guī)制。對于此問題可以參考此前已實施生效對《網(wǎng)絡(luò)安全法》第三十七條。

　　《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

　　簡言之，如果“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者”直接在境外服務(wù)器上存儲境內(nèi)重要數(shù)據(jù)，將違反本地化存儲的相關(guān)規(guī)定，導(dǎo)致企業(yè)和相關(guān)直接責(zé)任人員面臨被予以行政處罰的風(fēng)險。

　　《網(wǎng)絡(luò)安全法》僅對“關(guān)鍵信息基礎(chǔ)設(shè)施對運營者”提出了數(shù)據(jù)本地化要求，但由于此前僅對“關(guān)鍵信息基礎(chǔ)設(shè)施對運營者”進行了行業(yè)和程度的界定，實踐中跨國企業(yè)的落實情況并不理想。而本次《數(shù)據(jù)安全法》擴大了數(shù)據(jù)出境的被監(jiān)管主體——從“關(guān)鍵信息基礎(chǔ)設(shè)施對運營者”到“其他數(shù)據(jù)處理者”均被納入監(jiān)管范疇。同時，結(jié)合近期監(jiān)管趨勢來看，監(jiān)管部門對于關(guān)涉國家安全的行業(yè)相繼出臺法規(guī)政策，如針對智能汽車領(lǐng)域的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》，首次明確界定汽車行業(yè)重要數(shù)據(jù)的范圍。

　　可以見得，對于從事《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（征求意見稿）》附錄A“重要數(shù)據(jù)識別指南”中對27個重點行業(yè)的跨國企業(yè)，如果其在境內(nèi)收集、使用的數(shù)據(jù)有涉及國家安全的潛在可能，那么對于“跨國企業(yè)是否必須在中國境內(nèi)設(shè)立用于存儲數(shù)據(jù)的服務(wù)器？”這個問題的回答是，是的，為了應(yīng)對監(jiān)管趨勢，設(shè)立用于數(shù)據(jù)存儲的服務(wù)器是有必要的。

　?。?二 ） 境外遠程訪問是否屬于數(shù)據(jù)出境？

　　上文已經(jīng)對“數(shù)據(jù)出境”內(nèi)涵進行闡述，在此基礎(chǔ)上，我們可以討論“境外遠程訪問是否屬于數(shù)據(jù)出境”問題。

　　首先，如何理解“境外遠程訪問”，即“境外遠程訪問”一般包括那些情形。

　　狹義層面的“遠程訪問”（remote access）一般是指遠端用戶通過其他設(shè)備訪問該計算機及其存儲資源的行為，比較常見的是通過在計算機上安裝遠程訪問軟件的方式來達到在遠端操控計算機的目的。

　　而法律所規(guī)制的“數(shù)據(jù)出境”行為要求網(wǎng)絡(luò)運營者的“提供”行為具有主動性。筆者認為主動性在“遠程訪問”中體現(xiàn)為此訪問行為是否受權(quán)限控制。如果境外主體獲得權(quán)限后訪問境內(nèi)數(shù)據(jù)庫，則該行為應(yīng)當(dāng)落入《評估指南》的規(guī)制范疇，屬于“數(shù)據(jù)出境”行為。

　　如果網(wǎng)絡(luò)運營商在中華人民共和國境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)是因為被惡意攻擊者竊取數(shù)據(jù)從而導(dǎo)致重要數(shù)據(jù)被傳輸至境外的，不屬于數(shù)據(jù)出境行為。

　　而從訪問對象看，境外主體所訪問的計算機或其資源不存在權(quán)限要求，即任何主體在任何時間地點均可對其進行訪問，與排除“依法公開披露”立法意相同，也不屬于“數(shù)據(jù)出境”行為。

　?。?三 ） 境外接收重要數(shù)據(jù)的母公司是否也存在合規(guī)要求？

　　——是的

　　在跨國企業(yè)的業(yè)務(wù)中，收集、傳輸數(shù)據(jù)的主體多為跨國公司的境內(nèi)公司（外商投資企業(yè)），其承擔(dān)了主要的合規(guī)義務(wù)，而境外母公司作為接受者也存在一定的監(jiān)管要求。網(wǎng)信辦在2019年發(fā)布的《個人信息出境安全評估辦法（征求意見稿）》對“個人信息接收者”規(guī)定了相應(yīng)的法律義務(wù)，該辦法主要是針對個人信息出境，但由于其內(nèi)容具有一定實操性和規(guī)范性，因此我們建議在《數(shù)據(jù)安全法》配套法規(guī)尚未出臺前，有出境需求的跨國企業(yè)可以參照該辦法規(guī)定開展數(shù)據(jù)傳輸合規(guī)工作，力求盡可能規(guī)避監(jiān)管風(fēng)險。

　　該辦法第十三條規(guī)定網(wǎng)絡(luò)運營者（跨國公司的境內(nèi)公司）與個人信息接收者（境外母公司）應(yīng)當(dāng)簽訂合同或者其他有法律效力的文件，并對合同所應(yīng)當(dāng)約定的內(nèi)容進行了規(guī)定。

　　該辦法第十五條、第十六條明確規(guī)定接收者（境外母公司）所應(yīng)承擔(dān)的責(zé)任和義務(wù)，包括：

　　為個人信息主體提供訪問其個人信息的途徑，個人信息主體要求更正或者刪除其個人信息時，應(yīng)在合理的代價和時限內(nèi)予以響應(yīng)、更正或者刪除。

　　按照合同約定的目的使用個人信息，個人信息的境外保存期限不得超出合同約定的時限。

　　確認簽署合同及履行合同義務(wù)不會違背接收者所在國家的法律要求，當(dāng)接收者所在國家和地區(qū)法律環(huán)境發(fā)生變化可能影響合同執(zhí)行時，應(yīng)當(dāng)及時通知網(wǎng)絡(luò)運營者，并通過網(wǎng)絡(luò)運營者報告網(wǎng)絡(luò)運營者所在地省級網(wǎng)信部門。

　　除非滿足一定條件，接收者不得將接收到的個人信息傳輸給第三方。

　　對于“重要數(shù)據(jù)”而言，其對于“知情同意”的要求力度不如“個人信息”（個人信息自決權(quán)的體現(xiàn)），因此第一點對“重要數(shù)據(jù)”而言參照性較低。但第2、3、4點的制定邏輯均適用于“個人信息”和“重要數(shù)據(jù)”，跨國企業(yè)可以參照。

　　總結(jié)

　　此前，國家網(wǎng)信辦官網(wǎng)發(fā)布了《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》并向社會公開征集意見。該辦法對赴國外上市公司作了特殊規(guī)定，要求掌握超過 100 萬用戶個人信息的運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查，且在申報材料中應(yīng)提供擬提交的 IPO 材料。且在審查關(guān)注的國家安全風(fēng)險方面，針對赴國外上市行為提出了新的規(guī)制措施。可以見得，在未來一段期限內(nèi)，關(guān)涉國家安全對數(shù)據(jù)跨境流通將面對更進一步對監(jiān)管要求。尤其是日常業(yè)務(wù)涉及高頻數(shù)據(jù)跨境流動對跨國企業(yè)，對此問題應(yīng)當(dāng)有所應(yīng)對。